江苏龙网

  1. 首页 > 资讯 > 科技 > >

「嘶吼RoarTalk」数字化浪潮下,DevSecOps 的破局之战


近几年 , DevOps变化得愈加成熟 。 企业不仅需要了解风险 , 更需要实施控制措施 。 Gartner2020年规划指南:安全和风险管理 , 2020年新的或显著增强的领域包括拥抱DevSecOps以实现跨基础设施的安全标准化和自动化 , 安全应该成为流程和自动化的一个组成部分 。 伴随企业经历越来越多向左转移 , 业务领先安全是天然的 , 因此暴露出诸多风险 。 为了更好的适应企业转移的距离和发展速度 , 通过DevSecOps模型 , 使安全性成为业务内在组成部分 。 安全团队不仅可以延用标准 , 还可以在不中断业务实施的情况下计划整个安全流程 , 创建满足业务团队需求的策略 。
近期 , 嘶吼采访到了信通院云大所云计算部运维业务主管牛晓玲和奇安信集团网络安全部产品安全负责人武鑫 , 分别从标准制定侧和企业实践经验中就DevSecOps落地难点、企业最佳实践重点关注问题和企业顶层架构设计等内容展开讨论 。
一、什么是DevSecOps , 它与DevOps有何不同
嘶吼:DevOps和DevSecOps最大的区别在哪里 , 或者说组织如何更好的推动DevSecOps的发展?
牛晓玲:DevOps即研发运营一体化 , 强调开发、测试、运营部门之间的协作 , 从而提升IT组织的效率与质量 。 DevSecOps是在DevOps基础上将安全贯穿到软件开发的全生命周期中 , 通过研发、运营、安全等部门的紧密协作 , 在保障安全的基础上 , 又能快速交付高质量且稳定的软件服务 。
武鑫:DevSecOps是把安全的工作融入到快速迭代和交付的软件生命周期中 。 安全工作可以分为:安全检测、安全防护、安全运营 。 第二 , 它需要全体IT人员参与到安全工作中 , 使得孤岛思维被越来越多共同承担责任的安全任务所替代 。 第三 , 它是一种需要长期建设和运营的工程 , 将两个看似相反的目标"代码安全性"和"交付速度"逐渐合并、简化的过程 。 为了与敏捷安全中的精益实践保持一致 , 安全测试在迭代中完成 , 而不会减慢交付周期 。 关键的安全问题在出现时就及时得到处理 , 而不是在威胁发生后才进行响应和处理 。
二、企业建设DevSecOps重点聚焦
嘶吼:《中国DevOps现状调查报告(2019年)》中数据显示仍有65.02%的企业并未建立安全团队 , 企业尚未给予安全管理足够的重视 , 您认为最大的原因是什么?
牛晓玲:通过信通院的调查报告 , 我们分析得出主要是两方面原因 , 一是企业对安全的重视程度不够 , 二是企业中的专业的安全人员配比明显不足 , 大多数情况下 , 代码与服务的安全性还是仅仅依赖开发或运营团队内部兼职人员来保障 。
嘶吼:企业处于不同的发展阶段 , 大型企业、中小型以及初创型企业之间在建设DevSecOps时 , 分别需要注意哪些问题?
武鑫:大型企业在计划构建DevSecOps时 , 要根据实际IT发展水平量体裁衣 。 也就是说千万不要新建一套安全流程 , 而是要将安全嵌入研发流程中 , 实现柔性着陆 。 根本原因是公司业务技术的发展水平 , 比如云计算等一些迭代较快的技术 , 是不断持续交付的 , 在IT发展水平较高的产品线可以将安全嵌入 , 这一步对于系统自动化要求也比较高 。
中小型、初创企业:我在企业规模不同上感触比较深 , 较为明显的是业务复杂度表现出的差异 。 例如:较多使用的编码语言 , 现在的主流是Java、Python、Go等 , 中小型企业管理常用的几种编码语言 , 再添加安全工具和安全系统辅助检测 , 尽早发现代码中漏洞以维护业务目标即可 。 而在大型组织中常用语言为十几种 , 甚至在一些复杂业务逻辑下的大型企业使用二十几种编码语言也很普遍 。 当然 , 这对于安全团队实际推行或者调整技术框架、语法句式等都带来很大的困难 。 对于我们来说 , 无论是对安全人员自身素质的要求、或是安全工具和安全系统的功能都是一种挑战 。 因此 , 建议中小型企业根据自身使用设计需求和代码复杂度选用安全工具和第三方的安全服务 。


推荐阅读


上一篇:OPPO■OPPO新机入网:联发科5G芯片+120Hz屏!

下一篇:「晓星说科技」Galaxy S20+ 新鲜点在哪,萝卜青菜各有所爱,稳扎稳打何以见得?